Edgar Bangkok
31-05-2008, 19:27
01 giugno 2008
Anche se sono passati ormai parecchi giorni dai primi attacchi a siti anche italiani il numero di pagine .IT indicizzato dai motori di ricerca invece che ridursi a subito in queste ultime ore un vistoso aumento
Una ricerca generica ad esempio con Yahoo di uno degli script coinvolti (b.js) nell'atacco da questi risultati
Visto che il sito banner82 e' adesso offline facendo una ricerca piu' specifica per adw95(dot)com che e' attualmente online e linka ad exploit pericolosi abbiamo comunque risultati notevoli in quanto a numero di siti compromessi o comunque che lo sono stati nei giorni scorsi ed ora bonificati.
con Yahoo
(img sul blog)
e con Google
(img sul blog)
Rimane sempre il dubbio che in effetti gli attacchi a base di sql injection non siano terminati ma in qualche modo vengano portati piu' volte andando a compromettere nuovamente siti gia bonificati (es.il sito del Comune di Grugliasco attaccato e bonificato a piu' riprese (http://edetools.blogspot.com/2008/05/sito-bonificato-ma-nuovamente-e.html))
(img sul blog)
In ogni caso risultano online ancora parecchie pagine di siti con il problema tra i quali nelle ultime ore e' comparso indicizzato dai motori di ricerca quello del quotidiano LA STAMPA.
(img sul blog)
Questa una delle pagine colpite
(img sul blog)
e relativo codice
(img sul blog)
Come sempre alcune analisi del contenuto del sito dimostrano che sono decine le pagine che presentano il problema
(img sul blog)
ed anche alcune pagine con un alto numero di script presenti
Queso il codice sorgente della pagina con il maggior numero di riferimenti ad ADW95
(img sul blog)
Un altro sito con ancora problemi sembrerebbe questo della Provincia di Piacenza
(img sul blog)
Tra l'atro su alcuni blog italiani sono comparse post che illustrano praticamente come e' stato eseguito uno di questi attacchi ed in effetti la sua semplicita' e' evidente.
Bastano veramente poche righe di codice da iniettare nell’URL dinamica per ottenere una query SQL che aggiunge nel database sul server in tutte le colonne la stringa che costituisce lo script e che di conseguenza porta ad avere nel codice delle pagine una presenza massiccia dei link ad ADW95.
Microsoft ha riportato sul suo blog “Security Vulnerability Research & Defense” i dettagli di questo tipo di attacchi dove viene evidenziato che “......... attack does not exploit vulnerabilities in Windows, IIS, SQL Server, or other infrastructure code; rather, it exploits vulnerabilities in custom web applications running on this infrastructure ...... “ a conferma che le vulnerabilita' sfruttate sono in larga misura quelle generate dalle applicazioni create e gestite dagli utenti.
Edgar :D
fonte http://edetools.blogspot.com/
Anche se sono passati ormai parecchi giorni dai primi attacchi a siti anche italiani il numero di pagine .IT indicizzato dai motori di ricerca invece che ridursi a subito in queste ultime ore un vistoso aumento
Una ricerca generica ad esempio con Yahoo di uno degli script coinvolti (b.js) nell'atacco da questi risultati
Visto che il sito banner82 e' adesso offline facendo una ricerca piu' specifica per adw95(dot)com che e' attualmente online e linka ad exploit pericolosi abbiamo comunque risultati notevoli in quanto a numero di siti compromessi o comunque che lo sono stati nei giorni scorsi ed ora bonificati.
con Yahoo
(img sul blog)
e con Google
(img sul blog)
Rimane sempre il dubbio che in effetti gli attacchi a base di sql injection non siano terminati ma in qualche modo vengano portati piu' volte andando a compromettere nuovamente siti gia bonificati (es.il sito del Comune di Grugliasco attaccato e bonificato a piu' riprese (http://edetools.blogspot.com/2008/05/sito-bonificato-ma-nuovamente-e.html))
(img sul blog)
In ogni caso risultano online ancora parecchie pagine di siti con il problema tra i quali nelle ultime ore e' comparso indicizzato dai motori di ricerca quello del quotidiano LA STAMPA.
(img sul blog)
Questa una delle pagine colpite
(img sul blog)
e relativo codice
(img sul blog)
Come sempre alcune analisi del contenuto del sito dimostrano che sono decine le pagine che presentano il problema
(img sul blog)
ed anche alcune pagine con un alto numero di script presenti
Queso il codice sorgente della pagina con il maggior numero di riferimenti ad ADW95
(img sul blog)
Un altro sito con ancora problemi sembrerebbe questo della Provincia di Piacenza
(img sul blog)
Tra l'atro su alcuni blog italiani sono comparse post che illustrano praticamente come e' stato eseguito uno di questi attacchi ed in effetti la sua semplicita' e' evidente.
Bastano veramente poche righe di codice da iniettare nell’URL dinamica per ottenere una query SQL che aggiunge nel database sul server in tutte le colonne la stringa che costituisce lo script e che di conseguenza porta ad avere nel codice delle pagine una presenza massiccia dei link ad ADW95.
Microsoft ha riportato sul suo blog “Security Vulnerability Research & Defense” i dettagli di questo tipo di attacchi dove viene evidenziato che “......... attack does not exploit vulnerabilities in Windows, IIS, SQL Server, or other infrastructure code; rather, it exploits vulnerabilities in custom web applications running on this infrastructure ...... “ a conferma che le vulnerabilita' sfruttate sono in larga misura quelle generate dalle applicazioni create e gestite dagli utenti.
Edgar :D
fonte http://edetools.blogspot.com/